【安全汇报】卡巴斯基 – ICS中的RAT风险

颁布功夫 2018-10-12

原文链接：https://securelist.com/threats-posed-by-using-rats-in-ics/88011/

在进行审计、渗入测试和事务调查时，我们时时遇到工业企业的运营技术（OT）网络中装置有合法的远程治理工具（RAT）的情况。在我们调查的一些事务中，攻击者利用RAT来攻击工业企业。一些案例中攻击者偷偷地在受害企业的推算机上装置RAT，另一些案例中攻击者则是利用已经装置在企业推算机上的RAT。这些发现促使我们对有关威胁景观进行了分析，蕴含工业网络中RAT的使用率以及使用它们的原因。

钻研步骤

本文中的统计数据是从受卡巴斯基安全网络（KSN）�；さ腎CS推算机上网络而来�？ò退够⑹允襂CS CERT将ICS推算机归类为企业工业基础设施的一部门。这一类别蕴含执行以下一个或多个职能的Windows推算机：

· 数据采集与监控服务器（SCADA）
· 数据存储服务器（Historian）
· 数据网关（OPC）
· 工程师和操作员的固定工作站
· 工程师和操作员的移动工作站

· 人机界面（HMI）

在GA黄金甲钻研中，我们思考并分析了Windows平台上的所有主流RAT，但Windows操作系统自带的远程桌面服务之表。对该RAT的钻研还在进行之中，我们将在本系列的下一篇文章中进行介绍。

ICS中RAT的使用情况

凭据KSN的数据，在2018年上半年，有三分之一的ICS推算机装置/使用了合法的RAT法式（被归类为非病毒类的法式：远程治理（RemoteAdmin））。

装置合法RAT的ICS推算机的比例

统计数据与GA黄金甲观察了局相一致：RAT的确时时在工业企业的OT网络中使用。我们以为这可能与降低ICS的守护用度以及最大限度地削减故障产生时的响应功夫有关。

凭据GA黄金甲观察，对OT网络中的推算机的远程接见并没有严格限度在企业网络天堑内的治理员和工程师之中。企业网络天堑表的用户也能够通过互联网接见它们。这些用户可能蕴含第三方企业的代表 – 如系统集成商或ICS供给商的员工，他们利用RAT来进行ICS故障的诊断、守护和建复。正如GA黄金甲工业网络安全审计所批注的，这类接见通常没有受到企业有关责任人的监督，只管衔接到OT网络的远程用户通常占有过多的权限，例如本地治理员权限。这对确保工业自动化系统的信息安全来说显然是一个严沉的问题。

通过对分歧工业系统的工程师和操作员的访谈，并凭据对ICS用户文档的分析，我们发现RAT最常被用于工业网络的以下场景：

1. 从操作员工作站节造/监控HMI（蕴含在大屏幕上显示信息）
2. 从工程师工作站节造/监控HMI
3. 从操作员工作站节造SCADA
4. 从工程师工作站或承包商/供给商的推算机（表网）守护SCADA
5. 将多个操作员衔接到一个操作员工作站（类似于精简客户端的架构，能够节俭操作员工作站软件的许可证用度）

6. 从OT网络通过HMI接见办公网络的推算机并执行有关工作（如接见电子邮箱、上网、使用office文档办公等）

上面列出的一些场景批注，在OT网络中使用RAT是为了满足运营的需要。这也意味着烧毁使用RAT将会不成预防线导致工作流程的变动。与此同时，要充分理解不安全的RAT可能会导致攻击者能等闲地粉碎和中断工业流程，因而与在OT网络中使用RAT有关的决策应该基于这种思想上去构建。严格节造在OT网络上使用RAT将有助于减幼攻击面和削减远程治理系统受习染的风险。

GA黄金甲·(中国区)官方网站

2018上半年期间至少使用了一次RAT的ICS推算机比例最高的国度（Top20）

ICS中RAT的装置场景

凭据GA黄金甲钻研，在ICS推算机上有三种最常见的RAT装置场景：

1. ICS软件刊行包中蕴含RAT（可能是分歧的软件刊行包或ICS软件装置法式）。这种情况占所有装置RAT的ICS推算机的18.6%。

GA黄金甲·(中国区)官方网站

与ICS产品绑缚的RAT占所有ICS推算机上的RAT的比例

2. 幼我或供给商（网络治理员、工程师、操作员或集成公司）有意装置的RAT。我们并没有去试图判断这些装置是否合法。凭据GA黄金甲工业网络安全审计和事务调查的经验，好多这类装置并没有遵循企业的信息安全战术，一些装置甚至是各企业的有关掌管人员所不知情的。

3. 恶意软件偷苟装置的RAT。下文中我们调查的一个最近的攻击事务就是一个案例。

ICS中的RAT风险

在工业网络中使用RAT带来的风险并不总是那么显著，也不是最初使用这些RAT所进展的。

我们在工业系统中发现的大无数RAT都拥有以下特点（这些特点显著降低了主机系统的安全水平）：

· 提升的权限 – RAT的服务器部门常作为拥有系统权限（例如NT SYSTEM）的服务来运行；
· 不支持对系统/客户端的活动设置严格的本地接见限度；
· 单成分认证；
· 客户端活动没有日志；
· 存在缝隙（我们会在年底颁布关于主流RAT（被很多ICS供给商所使用的）中的零日缝隙的汇报）；

· 使用中继服务器（用于反向衔接）使得RAT可能绕过网络天堑上的NAT和防火墙的限度

与使用RAT有关的最严沉的问题是，其使用了提升的权限并且短缺对这些权限进行限度的伎俩（或者是限度远程用户的本地接见权限）。现实上，这意味着若是攻击者（或是恶意软件）获取了远程用户的推算机的接见权限，窃取了其身份验证数据（登录名/密码），劫持了活动的远程治理睬话或是成功攻击了RAT服务器端的缝隙，他们将会获得不受限度的ICS系统接见权限。通过使用反向衔接的中继服务器，攻击者能够从世界上任何一个处所衔接到这些RAT。

ICS软件刊行包中内置的RAT还会受到以下问题的影响：

· RAT组件和刊行包险些从不更新（即便颁布了新版本的ICS软件刊行包）。这意味着它们很有可能蕴含缝隙。

· 绝大无数情况下，它们都使用默认密码 – ICS软件供给商要么把默认密码硬编码在RAT中，要么在文档中把它们标为“推荐使用”

RAT是工业网络中时时使用的合法软件/工具，这意味着很难将合法的使用活动与攻击活动分辨隔来。此表，由于掌管ICS安全的信息安全服务和其他员工时时不知路RAT被装置了，大无数情况下RAT的配置在工业网络的安全审计过程中是被忽略掉的。这使得限度工业网络中的RAT的使用对象、使用场景和使用主张尤其沉要，以及肯定要确保OT网络的信息安全掌管人通达所有的RAT使用情况。

ICS中的RAT攻击

上述所有内容都合用于与RAT有关的潜在威胁。

凭据对KSN统计数据的分析，我们发现很多与ICS推算机中的RAT有关的攻击和恶意软件习染尝试。大无数情况下，这些攻击都是基于以下场景（以攻击频率的降序分列）：

1. 来自于本地网络或互联网的暴力破解攻击（破解用户名/密码）；
2. 攻击者或恶意软件通过窃取或破解的身份验证痛处接见RAT，并下载和执行恶意软件；
3. 远程用户（可能是合法的用户，但被攻击者所诱骗）通过RAT在ICS推算机高低载木马，而后执行；木马可能是假装成office文档、非工业场景的软件（游戏、多媒体软件等）、office/利用法式/工业软件等的破解器或密钥天生器等。
4. 利用exploit针对RAT服务器端提议的网络攻击，可能是来自于本地网络或互联网。

暴力破解类的网络攻击（破解用户名/密码）是最常见的；由于这种攻击不必要什么深邃的知识和技术，并且有关软件公开可用。

现罕见据无法分析出衔接到ICS推算机上的RAT服务器的用户到底是谁 – 可能是合法的用户，也可能是攻击者或恶意软件 – 以及其主张。因而，我们只能猜测这个活动代表了有针对性的攻击、粉碎性的尝试还是客户的失误。

来自于互联网的网络攻击最有可能通过恶意软件、渗入测试工具或僵尸网络来实现。

而来自于本地网络的网络攻击则意味着攻击者已经进入了网络（有可能是内部人员）。另一种可能性是本地网络中的一台推算机要么已被恶意软件习染，要么已被攻击者入侵并且当作跳板（身份验证痛处可能之前已经泄露）。

攻击案例一（通过RMS和TeamViewer攻击工业企业）

2018上半年，卡巴斯基尝试室ICS CERT发现假装成合法贸易报价的新一波垂钓邮件攻击。只管这些攻击活动重要针对俄罗斯境内的工业企业，但其攻击战术和工具也可用于攻击全球其它地域的工业企业。

这些攻击活动中使用的恶意软件会在系统上装置合法的远程治理软件 – TeamViewer或远程操作系统/远程工具（RMS）。

无论是哪种情况，恶意软件城市将一个系统DLL代替成恶意代码，以在合法过程中注入恶意代码。这使得攻击者能够获得受习染系统的远程节造权限。攻击者还使用了多种技术来覆盖习染和装置软件的痕迹。

如有必要，攻击者会在系统中下载一个额表的恶意软件包，该恶意软件包针对分歧的受害者进行定造，其可能蕴含间谍软件、其它远程治理工具、缝隙利用工具以及用于获取Windows账户密码的Mimikatz等。

凭据现罕见据，攻击者的重要主张是从企业的账户中窃取金钱，但潜在的攻击场景并不仅限于此。在攻击过程中，攻击者还会窃取指标组织及其合作同伴和客户的敏感数据，对员工进行奥秘的监督，并利用衔接到受习染推算机的设备录造视频和音频。显然，除了经济损失之表，这些攻击还会导致受害企业的敏感数据泄露。

攻击案例二（针对汽车造作商的屡次攻击）

第二种攻击场景的一个典型的例子是一家汽车造作与服务商的工业网络遭到的攻击。具体来说，是该企业的用于诊断卡车和沉型车辆的引擎和车载系统的推算机遭到的攻击�？ò退够⑹允业牟吩肿柚沽寺糯未死喙セ�。

该企业的工业网络中至少一台推算机被装置了RAT，并且该RAT被间歇性地使用。自2017年底以来，通过该RAT装置恶意软件的无数次攻击尝试被我们阻止了。几个月内这些习染尝试定期出现 – 一周2到3次，散布在一天的各个时辰。再加上其它间接指标，我们以为该RAT的身份验证数据泄露了，攻击者（恶意软件）利用该痛处通过互联网来攻击该企业的推算机。

在通过RAT接见潜在受害者的基础设施之后，攻击者一向在尝试分歧的恶意软件包，试图逃避杀毒软件的检测。

其中一个被卡巴斯基产品检测到的恶意软件及其变体是Net-Worm.Win32.Agent.pm。一旦起头运行，该蠕虫就会马上利用永恒之蓝缝隙在本地网络上进行扩散 – 该缝隙利用（MS17-010）于2017年春季被ShadowBrokers披露，并被臭名远扬的勒索软件WannaCry和ExPetr所利用。

被检测到的恶意软件还蕴含木马家族Nymaim。该家族常被用于下载僵尸网络Necus家族的变体，而Necus回过来又常被用于传布勒索软件家族Locky。

结论

远程治理工具被宽泛地用于工业网络的ICS监控、节造和守护流程中�Ｄ芄辉冻滩僮鱅CS的能力大大降低了守护成本，但与此同时，不受节造的远程接见权限、无法100%地验证远程客户端的合法性以及RAT代码和配置中的缝隙大大增长了攻击面。而另一方面，RAT等其它合法工具也越来越多地被攻击者所利用，使得其行踪被暗藏和归因越来越难题。

为了削减RAT网络攻击的风险，我们建议采取以下高优先级的措施：

· 审计工业网络中的系统及第三方远程治理工具，例如VNC、RDP、TeamViewer和RMS / RemoteUtilities等。卸载所有工业流程不必要的远程治理工具。
· 审计并禁用ICS软件附带的远程治理工具（具体指南请参考软件的有关文档），当然前提是工业流程不必要这些工具。
· 即便是工业流程所需的远程治理操作，也要亲昵监控和纪录远程治理睬话的事务日志；默认情况下应将远程接见服务禁用，仅在必要使用时启用，并且只启用一段功夫。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

【安全汇报】卡巴斯基 – ICS中的RAT风险

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线